ट्रैपडोर नामक एक सप्लाई चेन हमला अभियान npm, PyPI और CratesIO जैसे लोकप्रिय रिपॉजिटरी में मैलवेयर फैला रहा है। दुर्भावनापूर्ण पैकेज अनजान डेवलपर्स से क्रेडेंशियल चुराने का प्रयास करते हैं। यह खतरा ओपन-सोर्स सॉफ्टवेयर में विश्वास का फायदा उठाकर डेवलपमेंट वातावरण में घुसपैठ करता है।
ट्रैपडोर पैकेजों को कैसे संक्रमित करता है और पहचान से बचता है 🛡️
ट्रैपडोर डेवलपर्स को धोखा देने के लिए कोड अस्पष्टीकरण तकनीकों और वैध लाइब्रेरी के समान पैकेज नामों का उपयोग करता है। एक बार इंस्टॉल होने के बाद, पैकेज ऐसी स्क्रिप्ट चलाते हैं जो पर्यावरण चर, एक्सेस टोकन और कॉन्फ़िगरेशन फ़ाइलों में संग्रहीत क्रेडेंशियल निकालती हैं। हमलावर फिर डेटा को दूरस्थ सर्वर पर लीक कर देते हैं। जोखिम को कम करने के लिए, प्रत्येक पैकेज की प्रामाणिकता उसके संस्करण इतिहास की जाँच करके सत्यापित करें, सुरक्षा स्कैनर को अपडेट रखें और स्थैतिक विश्लेषण उपकरणों का उपयोग करें।
भरोसेमंद डेवलपर और उसका संदिग्ध पैकेज 😅
क्योंकि lodash-fix-urgente नामक पैकेज को उसका सोर्स कोड देखे बिना इंस्टॉल करने से बड़ा भरोसा और कुछ नहीं। ट्रैपडोर इसी उम्मीद पर काम करता है कि आप डिपेंडेंसी अपडेट करना वैकल्पिक समझेंगे। अंत में, मैलवेयर हंसता रहेगा जब आप ढूंढ रहे होंगे कि आपका AWS टोकन किसी हैकर फोरम में कैसे आ गया। याद रखें: एक पैकेज की जाँच करने में पाँच मिनट लगते हैं; क्रेडेंशियल चोरी समझाने में पूरी ज़िंदगी लग जाती है।